필자 개인 의견
보안 관련 기능(그외 다양한 3rd party 기능)을 제공하는 AWS 파트너 솔루션을 편하고 안정적이며 예기치 못한 급작스런 트래픽에 대응이 가능하게 되었습니다.
이를 위해서 전통적인 SDN 기능을 사용한 것이 아닌, 패킷 감싸기(Encapsulation)과 NAT와 라우팅(VPC Ingress Routing), PBR(추정) 등을 사용하였습니다.
AWS 를 사용하는 고객들이 좀 더 다양한 파트너 솔루션을 쉽게 적용하는 기술 테스트 및 검토가 이루어 질 것으로 보입니다.
1.1 SDN 기능 SFC(Service Function Chaining)
2010년 초반 부터 네트워크 업계에는 SDN(Software-Defined Networking) 기술이 학술적으로 부터 조명을 받기 시작했습니다.
하지만 기존 네트워크 장비와 호환성이 없다 보니 SDN 환경으로 전환이 어렵고 고객 사례가 거의 없어서 지금은 SDN 이야기가 거의 나오지 않고 있습니다.
여튼 2014년쯤 SDN의 기능 중 SFC(Service Function Chaining) 이라는 개념과 기능이 나오기 시작했습니다.
말 그대로 특정한 서비스(방화벽, NAT, 패킷 분석, DPI, L4/L7 등)를 연결하는 체인 구조로 접속을 해주는 것 입니다.
그림 출처: https://bit.ly/2IkM5oF
SFC 장점
기존 트래픽 전달 환경에 영향도를 최소화 하면서 해당 기능(라우팅)을 제공
→ 기존 환경에서 유사한 기능 제공 시 인라인(In-line)으로 제공해야 하여 장애 시 문제 발생 하거나 혹은 급격한 성능 대응의 어려움이 존재
유연하게(동적) SFC 기능(라우팅)을 제공 가능
→ 외부에서 공격 트래픽이 들어오고 있다고 판단 시 동적으로 SFC 기능을 통해 '방화벽, 패킷 분석' 서비스를 경유하게 대응 가능